Hierarhična varnost za nadzor dostopa

Model hierarhične varnosti je razširitev obstoječih varnostnih modelov, ki uporabljajo poslovne enote, varnostne vloge, skupno rabo in ekipe. Uporablja se lahko z vsemi drugimi obstoječimi varnostnimi modeli. Hierarhična varnost ponuja organizaciji bolj podroben dostop do zapisov in pomaga znižati stroške vzdrževanja.

V zapletenih scenarijih lahko na primer začnete z ustvarjanjem več poslovnih enot, nato pa dodate hierarhično varnost. Ta dodatna varnost zagotavlja bolj podroben dostop do podatkov z veliko manj stroški vzdrževanja, ki bi jih morda potrebovalo veliko število poslovnih enot.

Varnostni modeli hierarhije vodij in hierarhije položajev

Za hierarhije se lahko uporabita dva varnostna modela, hierarhija vodij in hierarhija položajev. V hierarhiji vodij mora biti vodja znotraj iste poslovne enote kot poročilo ali v nadrejeni poslovni enoti poslovne enote poročila, da ima dostop do podatkov poročila. Hierarhija položaja omogoča dostop do podatkov v vseh poslovnih enotah. Če ste finančna organizacija, boste morda raje izbrali model hierarhije vodij, da preprečite dostop vodij do podatkov zunaj njihovih poslovnih enot. Če pa ste del organizacije za pomoč strankam in želite, da imajo vodje dostop do primerov storitev, ki se obravnavajo v različnih poslovnih enotah, vam bo hierarhija položajev morda bolj ustrezala.

opomba,

Čeprav model hierarhične varnosti zagotavlja določeno raven dostopa do podatkov, lahko dodaten dostop pridobite z uporabo drugih oblik varnosti, kot so varnostne vloge.

Hierarhija upravitelja

Varnostni model hierarhije vodij temelji na upravljavski verigi ali strukturi neposrednega poročanja, kjer se odnos med vodijem in podrejenim vzpostavi z uporabo polja **Vodja** v tabeli uporabnikov sistema. S tem varnostnim modelom lahko upravljavci dostopajo do podatkov, do katerih imajo dostop njihova poročila. Delo lahko opravljajo v imenu svojih neposrednih podrejenih ali dostopajo do informacij, ki potrebujejo odobritev.

opomba,

Z varnostnim modelom hierarhije upraviteljev ima upravitelj dostop do zapisov, ki so v lasti uporabnika ali ekipe, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, katere član je uporabnik. Ko uporabnik, ki je zunaj upravljavske verige, deli zapis z neposrednim podrejenim uporabnikom z dostopom samo za branje, ima vodja neposrednega podrejenega do skupnega zapisa samo dostop samo za branje.

Ko omogočite možnost Zapis lastništva med poslovnimi enotami , imajo lahko vodje neposredne podrejene iz različnih poslovnih enot. Uporabite lahko naslednje nastavitve zbirke podatkov okolja, da odstranite omejitev poslovne enote.

Vodje morajo biti v isti ali nadrejeni poslovni enoti kot poročila

Privzeto = res

Lahko ga nastavite na »false« in poslovna enota vodje ni nujno enaka poslovni enoti neposrednega podrejenega.

Poleg varnostnega modela hierarhije upraviteljev mora imeti upravitelj vsaj uporabniško pravico za branje v tabeli, da si lahko ogleda podatke poročil. Če na primer vodja nima dostopa za branje tabele primerov, ne more videti primerov, do katerih imajo dostop njegova poročila.

Za neposrednega podrejenega v isti upravljavski verigi vodje ima vodja dostop samo za branje podatkov neposrednega podrejenega. Za neposredno podrejenega ima vodja dostop do podatkov poročila za branje, pisanje, dodajanje in dodajanje v. Za ponazoritev varnostnega modela hierarhije upravljavcev si poglejmo naslednji diagram. Izvršni direktor lahko bere in posodablja podatke podpredsednika prodaje in podatke podpredsednika storitev. Vendar pa lahko generalni direktor bere le podatke vodje prodaje in podatke vodje storitev ter podatke o prodaji in podpori. Količino podatkov, do katerih ima upravitelj dostop, lahko dodatno omejite z globino. Globina se uporablja za omejitev, na koliko nivojih globoko ima upravitelj dostop samo za branje do podatkov svojih poročil. Na primer, če je globina nastavljena na 2, lahko generalni direktor vidi podatke podpredsednika prodaje, podpredsednika storitev ter vodij prodaje in storitev. Vendar pa generalni direktor ne vidi podatkov o prodaji ali podatkov o podpori.

Posnetek zaslona, ki prikazuje hierarhijo vodij. Ta hierarhija vključuje generalnega direktorja, podpredsednika prodaje, podpredsednika storitev, vodje prodaje, vodje storitev, prodajo in podporo.

Pomembno je omeniti, da če ima neposredni podrejeni globlji varnostni dostop do tabele kot njegov vodja, vodja morda ne bo mogel videti vseh zapisov, do katerih ima neposredni podrejeni dostop. To ponazarja naslednji primer.

  • Posamezna poslovna enota ima tri uporabnike: Uporabnika 1, Uporabnika 2 in Uporabnika 3.

  • Uporabnik 2 neposredno poroča uporabniku 1.

  • Uporabnik 1 in uporabnik 3 imata dostop za branje na ravni uporabnika v tabeli Račun. Ta raven dostopa uporabnikom omogoča dostop do lastnih zapisov, zapisov v skupni rabi z uporabnikom in zapisov v skupni rabi z ekipo, katere član je uporabnik.

  • Uporabnik 2 ima dostop za branje poslovne enote v tabeli Račun. Ta dostop omogoča uporabniku 2 ogled vseh računov za poslovno enoto, vključno z vsemi računi, ki so v lasti uporabnika 1 in uporabnika 3.

  • Uporabnik 1 ima kot neposredni upravitelj uporabnika 2 dostop do računov, ki so v lasti ali v skupni rabi z uporabnikom 2, vključno z računi, ki so v skupni rabi z drugimi ekipami uporabnika 2 ali v njihovi lasti. Vendar pa uporabnik 1 nima dostopa do računov uporabnika 3, čeprav ima njegov neposredni podrejeni morda dostop do računov uporabnika 3.

Hierarhija položaja

Hierarhija položajev ne temelji na strukturi neposrednega poročanja, kot je hierarhija vodij. Uporabnik ne rabi biti dejanski upravitelj drugega uporabnika, če želite dostopati do podatkov uporabnika. Kot skrbnik definirate različna delovna mesta v organizaciji in jih razvrščate v hierarhijo delovnih mest. Nato dodate uporabnike na kateri koli dani položaj ali, kot pravimo tudi, označite uporabnika z določenim položajem. V dani hierarhiji je mogoče uporabnika označiti le z enim položajem, vendar je položaj mogoče uporabiti za več uporabnikov. Uporabniki na višjih položajih v hierarhiji imajo dostop do podatkov uporabnikov na nižjih položajih, in sicer po neposredni poti prednika. Neposredni višji položaji imajo dovoljenja za branje, pisanje, prilaganje in prilaganje v podatke na nižjih položajih po neposredni poti prednika. Neposredni višji položaji imajo dostop samo za branje do podatkov nižjih položajev v poti neposrednega prednika.

Za ponazoritev koncepta poti neposrednega prednika si poglejmo naslednji diagram. Delovno mesto vodje prodaje ima dostop do podatkov o prodaji, vendar nima dostopa do podpornih podatkov, ki so v drugi poti prednika. Enako velja za delovno mesto vodje storitev. Nima dostopa do prodajnih podatkov, ki so v prodajni poti. Tako kot v hierarhiji menedžerjev lahko omejite količino podatkov, do katerih imajo dostop višji položaji, z globina. Globina omejuje, koliko ravni globoko ima višji položaj dostop samo za branje do podatkov nižjih položajev v poti neposrednega prednika. Na primer, če je globina nastavljena na 3, lahko položaj generalnega direktorja vidi podatke vse od položajev podpredsednika prodaje in podpredsednika storitev do položajev prodaje in podpore.

Posnetek zaslona, ki prikazuje hierarhijo položajev. Ta hierarhija vključuje generalnega direktorja, podpredsednika prodaje, podpredsednika storitev, vodje prodaje, vodje storitev, prodajo in podporo.

opomba,

Z varnostno hierarhijo položajev ima uporabnik na višjem položaju dostop do zapisov, ki so v lasti uporabnika na nižjem položaju ali ekipe, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, katere član je uporabnik.

Poleg varnostnega modela hierarhije položajev morajo imeti uporabniki na višji ravni vsaj bralno pravico na ravni uporabnika za tabelo, da si lahko ogledajo zapise, do katerih imajo dostop uporabniki na nižjih položajih. Na primer, če uporabnik na višji ravni nima dostopa za branje tabele primerov, ne bo mogel videti primerov, do katerih imajo dostop uporabniki na nižjih položajih.

Nastavljanje hierarhične varnosti

Če želite nastaviti varnost hierarhije, se prepričajte, da imate dovoljenje skrbnika sistema za posodobitev nastavitve.

Hierarhična varnost je privzeto onemogočena. Če želite omogočiti hierarhično varnost, sledite tem korakom.

  1. Prijavite se v Power Platform admin center kot skrbnik (Dynamics 365 admin ali Microsoft Power Platform admin).

  2. V navigacijski plošči izberite Upravljanje.

  3. V podoknu Upravljanje izberite Okolja in nato s seznama izberite okolje.

  4. Pojdi na Nastavitve> Uporabniki + dovoljenja> Hierarhična varnost.

  5. Pod Hierarhični model, izberite eno od Omogoči model hierarhije upraviteljev ali Omogoči model hierarhije položajev odvisno od vaših zahtev.

    Pomembno

    Če želite spreminjati karkoli v možnosti Hierarhična varnost, morate imeti pravico Spremeni nastavitve hierarhične varnosti.

    V Upravljanje hierarhičnih tabel V tem območju so vse sistemske tabele privzeto omogočene za varnost hierarhije, vendar lahko selektivne tabele iz hierarhije izključite. Če želite iz hierarhičnega modela izključiti določene tabele, počistite potrditvena polja za tabele, ki jih želite izključiti, in shranite spremembe.

    Posnetek zaslona strani Varnost hierarhije v nastavitvah za okolja.

  6. Globino nastavite na želeno vrednost, da omejite, na koliko nivojih ima upravitelj dostop samo za branje do podatkov svojih poročil.

    Na primer, če je globina enaka 2, lahko upravitelj dostopa le do svojih računov in računov poročil, ki so dve ravni globoko. V našem primeru, če se v aplikacije za interakcijo s strankami prijavite kot podpredsednik prodaje brez skrbniških pravic, vidite samo aktivne račune uporabnikov, kot je prikazano:

    Posnetek zaslona, ki prikazuje dostop za branje za podpredsednika prodaje in druge položaje.

    opomba,

    Če hierarhična varnost podpredsedniku prodaje omogoča dostop do zapisov v rdečem pravokotniku, je dodaten dostop morda na voljo glede na varnostno vlogo, ki jo ima podpredsednik prodaje.

Vzpostavitev hierarhije vodij in položajev

Hierarhijo upraviteljev je enostavno ustvariti z uporabo odnosa upravitelja v zapisu sistemskega uporabnika. Upravitelja uporabnika določite z iskalnim poljem upravitelja (ParentsystemuserID). Če ste ustvarili hierarhijo položajev, lahko uporabnika označite tudi z določenim položajem v hierarhiji položajev. V naslednjem primeru prodajalec poroča vodji prodaje v hierarhiji vodij in ima v hierarhiji položajev tudi položaj prodajalca:

Posnetek zaslona, ki prikazuje uporabniški zapis prodajnega zastopnika.

Če želite uporabnika dodati na določen položaj v hierarhiji položajev, uporabite iskalno polje z imenom Položaj na obrazcu uporabniškega zapisa.

Pomembno

Če želite dodati uporabnika na položaj ali spremeniti položaj uporabnika, morate imeti pravico Dodeli položaj za uporabnika.

Posnetek zaslona, ki prikazuje, kako dodati uporabnika na položaj v hierarhični varnosti

Če želite spremeniti položaj na obrazcu uporabniškega zapisa, v navigacijski vrstici izberite Več (…) in izberite drug položaj.

Sprememba položaja v hierarhični varnosti

Če želite ustvariti hierarhijo položajev:

  1. Izberite okolje in se pomaknite do možnosti Nastavitve>Uporabniki in dovoljenja>Položaji.

    Za vsak položaj navedite ime položaja, nadrejeni položaj in opis. Uporabnike na ta položaj dodajte z iskalnim poljem Uporabniki v tem položaju. Naslednja slika je primer hierarhije položajev z aktivnimi položaji.

    Aktivni položaji v hierarhični varnosti

    Primer omogočenih uporabnikov z njihovimi ustreznimi položaji je prikazan na naslednji sliki.

    Posnetek zaslona, ki prikazuje omogočene uporabnike z dodeljenimi položaji.

Urejanje in posodabljanje več ravni zapisov za neposredne podrejene

Vodje lahko privzeto posodabljajo zapise za svoje neposredne podrejene in zapise za posameznike, ki poročajo njihovim neposrednim podrejenim. V bistvu lahko posodobite zapise, ki so tri ravni globoko. Privzeto nastavitev lahko spremenite tako, da izvedete naslednje korake.

  1. Namestite orodje OrganizationSettingsEditor.
  2. Uredite nastavitev HierarchyLevelForHierarchyFeature .
  3. Vnesite število neposrednih nivojskih globin. Na primer, vnesite 5.
  4. Izberite možnost Posodobi.

Vključitev ali izključitev zapisov v lasti neposrednega podrejenega s statusom onemogočenega uporabnika

Vodje si lahko ogledajo zapise svojih neposrednih podrejenih z onemogočenim statusom za okolja, kjer je hierarhična varnost omogočena po 31. januarju 2024. V drugih okoljih zapisi neposrednih podrejenih z onemogočenim statusom niso vključeni v pogled vodje.

Če želite vključiti zapise o neposrednem podrejenem s statusom invalidnosti:

  1. Namestite orodje OrganizationSettingsEditor.
  2. Posodobite nastavitev AuthorizationEnableHSMForDisabledUsers na true.
  3. Onemogočite modeliranje hierarhije.
  4. Ponovno ga omogočite.

Če želite izključiti zapise o neposrednem podrejenem s statusom invalidnosti:

  1. Namestite orodje OrganizationSettingsEditor.
  2. Posodobite nastavitev AuthorizationEnableHSMForDisabledUsers na false.
  3. Onemogočite modeliranje hierarhije.
  4. Ponovno ga omogočite.

opomba,

  • Ko onemogočite in ponovno omogočite modeliranje hierarhije, lahko posodobitev traja nekaj časa, saj mora sistem ponovno izračunati dostop do zapisov upravitelja.
  • Če opazite časovno omejitev, zmanjšajte število tabel na seznamu Upravljanje hierarhičnih tabel , da vključite le tabele, ki si jih mora ogledati upravitelj. Če časovna omejitev ne preneha, pošljite zahtevo za podporo in zahtevajte pomoč.
  • Zapisi neposrednega podrejenega s statusom invalidnosti so vključeni, če so ti zapisi v skupni rabi z drugim neposrednim podrejenim, ki je aktiven. Te zapise lahko izključite tako, da odstranite deljenje.

Ukrepi za izboljšanje učinkovitosti delovanja

Za izboljšanje učinkovitosti delovanja priporočamo:

  • Ohranite učinkovito hierarhijo varnosti na 50 uporabnikov ali manj pod vodjo ali položajem. Vaša hierarhija ima lahko pod vodjo ali položajem več kot 50 uporabnikov, vendar lahko z nastavitvijo Globina zmanjšate število ravni za dostop samo za branje in s tem omejite dejansko število uporabnikov pod vodjo ali položajem na 50 uporabnikov ali manj.

  • Za bolj kompleksne scenarije uporabite hierarhične varnostne modele z drugimi, obstoječimi varnostnimi modeli. Izogibajte se ustvarjanju velikega števila poslovnih enot. Namesto tega ustvarite manj poslovnih enot in dodajte hierarhično varnost.

  • Številko HierarchyLevelForHierarchyFeature ohranite na najnižjo številko globine neposredne ravni, kot to zahtevajo vaše poslovne zahteve, da lahko vodje posodobijo zapise svojih neposrednih podrejenih.

Glejte tudi

Varnost v Microsoft Dataverse
Poizvedovanje in vizualizacija hierarhičnih podatkov

  • Last updated on